Sanction de la chaîne de gymnases Supera : une violation des données personnelles
La Agencia Española de Protección de Datos (AEPD) a récemment imposé une amende de 96 000 euros à la chaîne de gymnases Supera pour avoir enfreint la réglementation sur la protection des données de ses clients. Le motif principal de cette sanction est l’imposition du reconnaissance faciale comme unique méthode d’accès à ses établissements. Cet incident a été mis en lumière à la suite d’une dénonciation effectuée par l’association FACUA en 2023, culminant dans cette décision officielle.
Les faits en question
Le 4 août 2023, une réclamation a été déposée auprès de SIDECU, l’entreprise qui gère les gymnases Supera, suite à des difficultés d’accès au Centre Sportif Supera Entrepuentes à Séville. Les clients étaient refusés à l’entrée en raison de l’implémentation d’un nouveau système d’accès utilisant le reconnaissance faciale. Ce système, jugé invasif et excessif par le plaignant, avait été mis en place sans préavis aux membres du gymnase, alors qu’auparavant, l’accès se faisait par carte magnétique.
Cette réclamation initiale a été suivie par d’autres plaintes similaires, amenant finalement FACUA à dénoncer SIDECU en septembre 2023. Les membres du gymnase se sont en effet sentis profondément affectés par cette nouvelle politique, qui compromettait leur intimité.
La défense de SIDECU
En réponse aux accusations, SIDECU a essayé de se défendre en affirmant qu’elle ne stockait pas d’images des utilisateurs, mais qu’elle se contentait de générer un patron facial à l’aide d’un algorithme. Selon la chaîne de gymnases, cette “template” ne suffisait pas à identifier les utilisateurs individuellement ni à déduire leurs caractéristiques personnelles. Ils soutenaient que leur système respectait les normes du Règlement Général sur la Protection des Données (RGPD), mais cela s’est avéré erroné.
Violation des articles du RGPD
Erreur d’interprétation : SIDECU a mal interprété le RGPD en négligeant l’article 9, qui interdit le traitement de “données biométriques” destinées à identifier de manière unique un individu. Le RGPD définit ces données biométriques comme celles obtenues par un traitement spécifique susceptible de confirmer l’identité d’une personne physique.
Deuxième erreur : L’imposition du système de reconnaissance faciale sans informer les utilisateurs constitue une violation de l’article 13 du RGPD. Non seulement aucun avis n’a été donné, mais l’accès au gymnase était exclusivement conditionné par ce système, sans réelle alternative proposée. Bien que la société ait introduit un moyen alternatif d’accès en présentant une pièce d’identité à la porte, cela est survenu uniquement après les plaintes.
Troisième erreur : SIDECU n’a pas réalisé d’évaluation des risques, contrevenant ainsi à l’article 35 du RGPD. Selon la décision de l’AEPD, l’entreprise n’a pas justifié la nécessité de ce système d’accès alors qu’il existait des alternatives moins intrusives et tout aussi efficaces. L’AEPD a conclu que bien que l’acte n’était pas intentionnel, la négligence dont a fait preuve SIDECU était significative.
Les sanctions infligées
En somme, trois amendes distinctes ont été imposées, totalisant 160 000 euros pour chaque article du RGPD violé : 80 000 euros pour l’article 9, 30 000 euros pour l’article 13 et 50 000 euros pour ne pas avoir procédé à une évaluation d’impact. Toutefois, grâce à la reconnaissance de responsabilité de SIDECU et à un paiement rapide, le montant final de l’amende a été réduit à 96 000 euros.
Imagen | Ryan Hoffman
Ces événements soulèvent des questions fondamentales sur la balance entre la sécurité et le respect de la vie privée. L’affaire de Supera est emblématique d’un enjeu de société, où la technologique doit évoluer en respectant les droits individuels. À l’avenir, il sera crucial pour toutes les entreprises de prendre en compte les exigences réglementaires et d’agir en toute transparence vis-à-vis de leurs clients afin de préserver la confiance au sein de la société.